中國國家互聯網信息辦公室(Cyberspace Administration of China)在2月4日宣布,該單位根據《中華人民共和國網絡安全法》,起草了一份《網絡產品和服務安全審查辦法》,將成立一個“網絡安全審查委員會”,負責“對網絡產品和服務的安全風險及其提供者的安全可信狀況進行綜合評估”。
中國執行網絡安全審查有數個動機,例如旨在降低網絡設備或服務被“非法控制、干擾與中斷運行”,還有網絡用戶個人信息可能被非法收集、儲存、處理或使用等等風險。根據上述草案,未來中國的黨政部門及重點產業、還有關鍵信息基礎建設營運者(critical information infrastructure operator,CIIO),不得采購審查未通過的網絡產品和服務。
所謂的“關鍵信息基礎建設營運者”定義廣泛,包括公眾通訊、信息服務、公用事業部門所采用的基礎設施,還有任何其他如果損壞或故障可能會危害中國國家安全與公眾利益的基礎設施;而公眾信息服務供貨商、數據中心以及云端服務供貨商,有可能會受到限制。
目前還不清楚那些與中國“關鍵信息基礎建設營運者”交易之相關廠商,是否已經在股價上因為中國之最新審查規則而受到沖擊,而任何對進軍中國市場有興趣的網絡相關廠商,應該要為中國基于《中華人民共和國網絡安全法》越來越復雜的審查要求預做準備。
舉例來說,將在2017年6月1日(編按:作者在原文中指出的生效日期為7月1日,但根據該法條文,施行日應為2017年6月1日)正式生效的《中華人民共和國網絡安全法》條文:“關鍵信息基礎設施的運營者采購網絡產品和服務,應當按照規定與提供者簽訂安全保密協議,明確安全和保密義務與責任。”
目前中國并沒有限制來自海外的網絡設備廠商,許多外國網絡設備廠商也都在當地設立了全資子公司;不過中國政府一直對外國互聯網服務供貨商抱持懷疑態度,嚴格禁止外資在中國經營數據中心。
雖然外資也有可能合法取得互聯網內容供貨商經營執照,或是互聯網服務供貨商執照,但機率是微乎其微;大多數非中國本地廠商會選擇透過可變權益實體(variable interest entity,VIE)架構,以間接方式取得擁有相關執照之當地公司經營權;不過VIE絕對不是完美的方案,中國執法單位可能會將之視為規避中國法規的行為,這種案例已經發生過不少。
為了在中國經營云端服務,包括Amazon、Microsoft等美國廠商,不得不與中國當地有執照的數據中心簽署合作契約;不過這種方式的合法性還不明確,特別是因為中國工信部最近公布了關于對授權互聯網服務供貨商(ISP)重發執照(sublicensing)的一些文件。
而美國政府有關當局最近也有一些與互聯網相關的訊息值得注意;在2月4日,一位美國法官要求Google將儲存于美國境外的電子郵件移交給聯邦調查局(FBI),以進行一樁美國國內詐騙案件的調查;這與先前法官的另一個決策完全相反,Microsoft并沒有被強迫移交儲存于愛爾蘭都柏林(Dublin)服務器的電子郵件。
如果該法官的命令被堅持執行,可能會賦予美國政府機關例如FBI,取得美國廠商在全球各地控制或保存之信息的權限;這也有可能讓中國即將成立的“網絡安全審查委員會”,有更多理由拒絕美國供貨商取得與中國之“關鍵信息基礎建設營運者”交易的必要許可。
京公網安備 11010502049343號